`농협 사태` 남일 아니네, 게임도 해킹에 골머리

4월 12일 발생한 농협 전산망 마비 사태는 사이버 테러에 대한 안전불감증을 상기시키는 이슈로 떠올랐다. 해당 사건으로 인해 당일에는 입/출금을 비롯한 기본 금융 서비스가 이뤄지지 않아 농협 이용객들은 큰 불편을 겪었다. 농협 측은 지난 22일 일부 거래 내역을 복구할 수 없음을 시인하고, 이재관 농협전무이사가 이에 대한 책임을 지고 옷을 벗었다.

최근 게임 업계도 ‘농협 사태’에 버금가는 해킹 문제로 골머리를 앓고 있다. 가까운 예로 4월 21일 벌어진 플레이스테이션 네트워크(이하 PSN) 장애 이슈를 들 수 있다. 소니의 게임 콘솔, PS3와 PSP의 온라인 네트워크 서비스인 PSN은 사건 발생 6일 째 접어든 현재에도 복구되지 않아 멀티플레이를 이용하고픈 플레이어들의 불편을 초래하고 있다.

▲ PSN 장애 사태에 관련한 소니 컴퓨터 엔터테인먼트 코리아의 공지

처음에 소니 측은 PSN 기능 중 일부가 문제를 일으켜 이를 보완 작업을 진행한다고 입장을 표했으나, 네트워크 서비스 마비가 장기화되자 25일, PSN이 외부로부터 공격받고 있음을 시인했다. 여기서 관계자들은 PSN가 불통된 시점에 주목했다. 사실 소니가 크래커로 인해 골치를 앓은 적은 이번이 처음은 아니다. 외부 침입으로부터 안전하다는 평가 받던 PS3를 해킹하고 이에 대한 소스를 공개한 ‘지오핫’과의 소송이 마무리된 지 채 한 달도 지나지 않아 PSN에 문제가 생긴 것이다.

▲ 크래커 `지오핫`에 의해 해킹된 PS3

법정까지 간 일명 ‘지오핫 사건’은 3월 31일 양자가 합의하며 일단락되었다. 하지만 합의 이후, ‘지오핫’은 언론을 통해 앞으로 소니 제품을 이용하고 싶지 않다는 의사를 밝혔으며, 해커 집단 Anonymous 역시 보복성 공격을 예고했다. 관계자들은 소니와 ‘크래커’들과의 갈등이 이번 PSN 장애 사건의 원인은 아니냐는 의견을 제기했다.

해킹 문제로 곤란한 입장에 처한 업계는 비단 콘솔 게임에 국한되지 않는다. 해외 대형 게임 유통사, 유비소프트는 이용자가 인터넷에 직접 CD를 등록하는 신규 DRM 서비스의 서버가 크래커들의 집중 공격을 받아 마비되는 홍역을 치렀다. 2009년 2분기 매출이 전년도 동일한 시기에 비해 50%나 감소하는 등, 불법 복제로 인해 막심한 손해를 입었다고 판단한 유비소프트는 이용자들의 CD를 인터넷에 등록하고, 등록에 사용한 계정으로 유비소프트의 메인 서버에 접속해 게임을 즐기는 신규 DRM을 공개했다.

▲ 유비소프트의 신규 DRM이 적용된 바 있는 `어쌔신 크리드2`

그러나 유비소프트가 DRM 서비스를 시작한지 하루 만에 서버가 해킹되어 불법 패키지가 유포되는 사태가 발생했다. 2010년 3월 출시된 ‘사일런트 헌터 5’와 ‘어쌔신 크리드2’가 불법 복제의 대상으로 낙점되었다. “타이틀의 모든 콘텐츠를 완벽하게 복제할 수 없다.”는 유비소프트 측의 입장에 심사가 뒤틀린 크래커들은 게임 데이터 및 콘텐츠가 저장된 서버를 직접 공격해 화를 풀었고, 결국 서버가 다운되어 게임이 실행되지 않는 불상사까지 초래되었다.

▲ DRM 서버 공격 사실을 알리는 유비소프트 공식 트위터 공지

인터넷 연결이 필요 없는 싱글 플레이가 주를 이루는 게임들을 즐길 때도 인터넷 연결을 요구하고, 접속이 지연되거나 중단될 경우 게임도 종료되는 유비소프트의 DRM 시스템은 정품 이용자들의 불만이 끊이지 않았다. 결국 유비소프트는 2011년 1월 오프라인으로도 자사가 출시한 PC 패키지 게임을 즐길 수 있도록 지원하는 패치를 진행하며 한 발 물러서고 말았다.

올해 2월, 시장에 나온 3DS 역시 해커들의 손길에서 벗어나지 못했다. 3DS가 발매된 지 24시간도 채 지나지 않은 시점에 2명의 해커가 R4칩에 저장시킨 ‘뉴 슈퍼마리오 브라더스’를 3DS로 구동하는 영상을 공개했다. 닌텐도가 일찍이 NDS와 3DS의 호환은 없다고 밝힌 데에다, R4칩은 게임 불법 복제 문제로 닌텐도가 강력히 대응하겠다는 입장을 밝힌 장치이기에 당시 업계에 큰 충격을 주었다.

▲ 해커들의 손에서 벗어나지 못한 NDS의 후속 모델, 3DS

복제 게임의 실행을 저지하는 NDS의 기술적 보호조치를 무력화시키는 R4칩은 2009년 11월, 대법원에서 불법 장치로 판결되었으며, R4칩을 비롯한 NDS 게임 복제 장치를 수입/판매한 김모씨에게 징역 8개월이 선고된 선례가 있다.

업계는 물론 개인 이용자에게도 어둠의 손길이! - 온라인게임 해킹

앞서 언급한 콘솔/PC 패키지 관련 크랙 사례는 개인 이용자보다는 업체 자체를 대상으로 두는 경우가 많았다. 하지만 국내 게임 이용자들의 대부분을 수용하는 온라인게임의 경우 업체는 물론 개인 이용자들에게 직접 크래커들이 손을 뻗는 경우가 다반사이기 때문에 피해 범위가 광범위하다. 현재도 온라인게임 전문 포털 사이트에 접속하면 계정이 해킹되어 고충을 겪는 이용자들의 문의가 지속적으로 제기되고 있다.

온라인게임 관련 해킹은 크게 2가지 유형으로 나뉜다. 먼저 이용자들의 계정에 불법으로 침입해 캐릭터 안에 있는 게임머니와 아이템을 빼내 거래 사이트에 팔아서 금전적인 이득을 취하는 유형이 있다. 이 방법은 해킹을 통해 유출된 개인 정보가 불법적인 경로를 통해 다른 사람의 손에 들어가 악용되는 2차 피해가 발생할 가능성이 있어 매우 위험하다.

클라이언트를 조작해 불공정한 플레이를 제공하는 ‘치트’ 프로그램 역시 개발사 및 퍼블리셔 입장에서 볼 때 처치 곤란한 문제다. 싱글 앨범으로 활동 중이던 여성 랩퍼 ‘이비아’의 이미지와 이름을 사용해 제작되어 유포된 ‘메이플스토리’ 치트 프로그램은 2010년 10월 당시, 큰 논란거리로 떠올랐다. PC방 등 게임을 이용하는 공공장소 역시, 정보 유출 위험도가 높은 해킹위험지대로 손꼽힌다.

▲ 2010년 10월 당시 큰 논란거리로 떠오른 `메이플스토리` 이비아 치트 프로그램

한국인터넷진흥원은 2010년 1월부터 7월까지 온라인게임 해킹 관련 신고 횟수가 지속적으로 증가하고 있다고 발표했다. 1월에는 122건, 상대적으로 일수가 적은 2월에는 56건에 머문 신고 건수는 3월에 149건, 4월에는 233건, 5월 294건, 6월 245건, 7월에는 265건으로 점점 수치가 불어나고 있다.

수치를 떠나서 살펴봐도 현재 각 게임 커뮤니티 사이트에서는 계정을 해킹 당해 아이템과 게임머니를 잃었다는 제보글을 심심치 않게 발견할 수 있다.

소중한 계정을 보호하고 싶다면 조금 귀찮아도 이용하자! - 해킹 보안 시스템

게임 이용자 모두가 해킹 위험에 노출되기 쉬운 온라인 환경에 머무는 온라인게임, 국내 게임 업계는 이용자들의 피해를 막기 위해 자체 보안 서비스를 지원하고 있다.

▲ 네오위즈 피망의 보안센터 메인 페이지

엔씨소프트, 넥슨, 네오위즈 피망, 넷마블, 윈디소프트 등 국내 주요 온라인게임 업체는 자사의 게임 포털 사이트 고객센터에 ‘보안’ 섹션을 별도로 마련하고 이에 필요한 서비스를 무료로 제공한다. ‘엠게임’은 비밀번호 변경, 악성코드 검색, 보안패치 등의 서비스를 개인 정보 보안 전용 페이지 ‘엠클린’을 통해 제공하고 있다.

각 사이트의 보안 서비스 구성은 대부분 비슷하다. 기본적인 로그인 보안에서 게임 내에 2차 비밀번호를 설정해 계정 정보가 유출되어도 아이템/게임머니 등 해커들의 주요 표적인 콘텐츠를 보호하는 방책도 실시되고 있다.

핸드폰을 통해 접속 때마다 새로운 인증번호를 받아 입력해 로그인을 완료하는 OTP 서비스도 많은 게임사들이 보안 방책으로 채택하고 있다. 블리자드는 ‘스타크래프트2’, ‘월드 오브 워크래프트’ 등 계정 접속을 요하는 자사 게임들의 이용자들이 OTP를 이용하게끔 유도하고 있다. 이용자들이 많은 NC소프트, 넥슨, 피망, 넷마블을 비롯한 국내 주요 게임 포털도 OTP 서비스를 제공한다.

▲ 핸드폰으로 일회용 인증번호를 받는 OTP 서비스

게임 퍼블리셔가 개별적으로 마련한 보안 방책도 눈에 뜨인다. 엔씨소프트와 네오위즈는 이용자가 지정한 PC에서만 게임에 접속할 수 있는 ‘PC등록 서비스’를 지원한다. 한 게임당 최대 5대의 PC를 동일한 계정으로 등록할 수 있어 여러 장소에서 게임을 이용하는 유저도 주로 이용하는 PC를 등록하는 데 불편함이 적다.

▲ `플레이NC` 보안 센터의 PC등록서비스 안내 페이지

‘던전앤파이터’, ‘메이플스토리’ 등 해킹 피해 사례가 상대적으로 많은 편인 게임을 서비스하는 넥슨은 USB메모리를 이용한 보안 서비스 ‘넥슨 스틱’을 서비스하는 중이다. 넥슨 홈페이지에서 로그인 후, ‘넥슨 스틱’을 USB 포트에 꽂으면 인증이 완료된다. 한 가지 주목할 점은 PC에 원하는 게임이 없을 경우, 이 ‘넥슨 스틱’이 알아서 게임 설치 작업까지 진행한다는 것이다.

▲ 보안과 편의성을 동시에 추구한 `넥슨 스틱`

엠게임의 보안 전용 사이트 ‘엠클린’에는 ‘개인 정보 보안’을 소재로 삼은 카툰 코너가 있다. 운영자를 사칭해 계정 비밀번호와 주민등록번호를 알아낸 후 해킹을 시도하는 사례 등, 일반 유저들이 쉽게 접할 수 있는 사례를 만화를 그려 이용자들이 쉽고 재미있게 보안 수칙을 이해하도록 부드럽게 안내하고 있다.

▲ 엠게임의 보안 전용 페이지 `엠클린`에 개재된 카툰

이 외에도 해킹으로 인한 개인 정보 유출 피해를 줄이기 위한 업계의 노력이 이어지고 있다. 하지만 아무리 좋은 서비스가 있어도 이용자 스스로가 쓰지 않는다면 무용지물이 되어버리고 만다. 애써 키운 캐릭터와 어렵게 모은 아이템/게임머니, 그보다 더 소중한 개인 신상 정보를 지키고 싶다면 ‘조금 귀찮더라도’ 각 게임 포털이 제공하는 보안 서비스를 적극적으로 이용하자.